HTTPS je HTTP cez SSL (alebo TLS). Ak to niekto myslí so zabezpečením webových stránok úplne vážne, tak sa bez HTTPS nezaobíde. Ďalšia možnosť zvýšenia zabezpečenia je povoliť prístup len zo známych IP adries. Otázka je, či je to v tomto prípade nutné.

SHA1 je dostatočne bezpečná hešovacia funkcia. Keď k nej pridáš trochu soli, tak to bude o dosť lepšie.

Doba životnosti session sa dá nastaviť pomocou session.gc_maxlifetime a session.cookie_lifetime v php.ini alebo funkciou ini_set.